Se han detectado varias vulnerabilidades en productos Check Point ZoneAlarm que podrían ser aprovechadas por atacantes, para comprometer un sistema vulnerable.

El fallo está localizado en los IOCTL handlers 0×22208F y 0×2220CFdentro del driver srescan.sys. Los parámetros Irp no son correctamente verificados, por lo que un atacante podría utilizar estos IOCTL para realizar una escritura en memoria. Para IOCTL 0×2220CF, el atacantepodría introducir el valor constante 0×30000, mientras que para IOCTL0×22208F podría escribir el contenido del buffer devuelto porZwQuerySystemInformation.

Esta vulnerabilidad podría provocar:

* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por defecto permiten que cuentas restringidas puedan acceder a los drivers del dispositivo afectado, un atacante podría conseguir una escalada de privilegios al nivel de SYSTEM.

Se ha confirmado la existencia de estas vulnerabilidades para la versión5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero no se descarta que otras versiones puedan estar también afectadas.

Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en
Fuente de la noticia: Hispasec